Demandez à ssh-add de se taire si la clé est déjà là

Je veux mettre ssh-add /path/to/special_keyen haut d'un script. Cela fonctionne bien, mais il demande toujours la phrase secrète. C'est étrange et un peu ennuyeux, car il demande toujours la phrase secrète même lorsque ssh-add -lla clé a déjà été ajoutée.

Existe-t-il un moyen de le dire: "ajoutez cette clé et demandez la phrase secrète si elle n'a pas déjà été ajoutée, sinon ne faites rien"?

Je ne vois aucune option à ssh-add qui aide à atteindre le résultat souhaité, mais il est assez facile de contourner cela, étant donné que vous êtes concerné par une clé en particulier.

Commencez par saisir l'empreinte de votre clé spéciale:

ssh-keygen -lf /path/to/special_key  | awk '{print $2}'

Disons que cette empreinte digitale ressemble à 6d: 98: ed: 8c: 07: 07: fe: 57: bb: 19: 12: 89: 5a: c4: bf: 25

Ensuite, en haut de votre script, utilisez ssh-add -lpour vérifier si cette clé est chargée, avant de l'inviter à l'ajouter:

ssh-add -l |grep -q 6d:98:ed:8c:07:07:fe:57:bb:19:12:89:5a:c4:bf:25 || ssh-add /path/to/special_key

Vous pouvez regrouper tout cela en une seule ligne si vous le souhaitez:

ssh-add -l |grep -q `ssh-keygen -lf /path/to/special_key  | awk '{print $2}'` || ssh-add /path/to/special_key

Il n'y a aucun moyen direct de vérifier en utilisant simplement ssh-addmais vous pouvez utiliser ssh-keygenet certains scripts pour vérifier.

$ if  ssh-add -l | \
    grep -q "$(ssh-keygen -lf /path/to/special_key | awk '{print $2}')"; \
    then echo yes; \
    else echo no; \
  fi

Ce qui précède s'imprime alors yessi l'empreinte digitale représentée par le fichier /path/to/special_keyest présente dans ssh-add -lla sortie de.

Exemple

$ if  ssh-add -l | \
    grep -q "$(ssh-keygen -lf /path/to/special_key | awk '{print $2}')"; \
    then echo yes; \
    else echo no; \
  fi
yes

Où le contenu de la sortie ssh-keygen -lf /path/to/special_keyressemble à ceci:

$ ssh-keygen -lf /path/to/special_key
2048 8a:6a:5a:44:20:c8:3a:da:ab:dd:1c:12:2c:e4:20:0c  dev-servers (RSA)

Et nous utilisons `awk '{print $ 2}' pour sélectionner uniquement la 2ème colonne, qui contient l'empreinte digitale, c'est-à-dire:

8a:6a:5a:44:20:c8:3a:da:ab:dd:1c:12:2c:e4:20:0c

Les références

• Comment extraire les empreintes digitales de .ssh / known_hosts?

Vous pouvez avoir des raisons particulières d'utiliser ssh-addexplicitement, mais si vous voulez juste "Je veux être invité à saisir ma phrase de passe la première fois que j'utilise la clé, mais pas après", openssh a une solution plus simple:

Mettez AddKeysToAgent yesvotre .ssh/configdossier.

ssh-add -K FILEa bien fonctionné pour moi sur Mac.
Il affiche toujours les lignes "Identité ajoutée:" mais ne demande pas de phrase secrète.

Depuis la page de manuel:

-K Lors de l'ajout d'identités, chaque phrase secrète sera également stockée dans le trousseau de l'utilisateur. Lors de la suppression des identités avec -d, chaque phrase secrète en sera supprimée.